ニュース
「事業者はID・パスワードが盗まれる前提でシステム設計を」、リスト型攻撃を防ぐためにヤフーが推進するパスワードレス認証
2019年9月3日 15:30
インターネットサービスで一般的に採用されているID・パスワードを使った個人認証は、パスワードリスト攻撃によるセキュリティ面の問題と、忘れたときにログインできなくなるといったユーザビリティ面での課題があるとして、ヤフー株式会社では生体認証などによる“パスワードレス”な個人認証の導入を推進することでこれらの問題を解消するという。
ID・パスワードを狙ったパスワードリスト攻撃やフィッシング詐欺が成立するのは、パスワードが必要な従来の個人認証方法に問題があることから、ヤフー株式会社CISO室の大角祐介氏は、事業者側は「ID・パスワードが盗まれる前提でシステム設計を行うことが重要」だと説明する。
SMS認証や生体認証を採用し、新規ユーザーはパスワードを設定しない登録方法へ
パスワードリスト攻撃は、攻撃者が何らかの方法で事前に入手したIDとパスワードのリストを使用して、インターネットサービスでログインを試みる攻撃手法。この攻撃が成功すると、登録されている個人情報を閲覧・変更されたり、クレジットカード情報や銀行口座情報を悪用される恐れがある。
ヤフーでは、パスワードリスト攻撃による被害を防ぐために、不正ログインの疑いがあるアクセスを見つけ次第、該当する「Yahoo! JAPAN ID」のログイン停止を行うほか、被害に遭った可能性があるユーザーにログイン履歴の確認やパスワードの再設定を促す通知を送る。
パスワードリスト攻撃による被害を防ぐためには、パスワードを使い回さないことや、推測されやすいパスワードを使わないことなどがユーザー側の対策として挙げられるが、SMS認証や生体認証など、パスワード以外の認証方法を事業者側で採用することがまず重要だと、ヤフー株式会社の伊藤雄哉氏(ID・セキュリティユニットマネージャー)は述べる。
実際にヤフーではSMS認証や生体認証によるログイン方法を採用しており、新規のYahoo! JAPAN IDユーザーに対しては、パスワードを設定しない登録方法を提供している。既存ユーザーに対しても、過去に設定したパスワードを無効化して、SMS認証や生体認証に切り替えることができるようにした。
ID・パスワードに関して、同社が2018年に行った調査では、「複数サービスでパスワードを使い回している」(73%)、「パスワードリスト攻撃のことを知らない」(85%)、「パスワードは忘れてしまう」(96%)などといった回答が大半を占めるなど、ユーザーの危機意識が依然として低いことが分かった。
こうしたユーザーをパスワードリスト攻撃から守るためにも、パスワードを覚える必要がないパスワードレスな個人認証を推進することで、パスワードのセキュリティ面やユーザビリティ面での課題は解消できるとしている。
事業者はパスワード認証のセキュリティ強化を、ユーザーもフィッシング詐欺を「見破ろうとしないこと」
フィッシング対策協議会に寄せられたフィッシング詐欺に関する報告は、7月だけでも4322件で2019年に入ってから増加傾向が続いている。
ヤフーでも、Yahoo!ショッピングの偽サイトや、Yahoo!ネット募金の「平成30年7月豪雨緊急災害支援募金」ページを模倣した偽サイトを確認しているが、こうしたフィッシング詐欺が増加しているのは、「偽サイトやフィッシングメールを作成するだけで、ID・パスワード、個人情報など、価値の高いデータを得られるため」だと、大角氏は述べた。
偽サイトは元となるウェブサイトをコピーして構築したり、容易に偽サイトを作成できる“フィッシングキット”を使用するだけで済むなど、高度なIT技術不要でも「費用対効果が他のサイバー犯罪と比較すると非常に高い」そうだ。
フィッシングメールに関しても、送信元や本文中のリンク先を容易に偽装可能なこと、翻訳者を雇えば海外による犯罪グループでも自然な日本語のフィッシングメールを作成できるため、届いたメールが正規のものか見分けることはますます困難になっている。そのため、ユーザー側の対策としては、まず「見破ろうとしないこと」が重要になると同氏は説明する。
不審なメールが届いた場合は、本文に記載されたリンクをクリックするのではなく、ブックマークや検索エンジン経由で目的のウェブサイトにアクセスすることや、サポートセンターに問い合わせるよう促している。なお、フィッシングメールに記載された問い合わせ先が偽物の可能性もあることから、公式ウェブサイトなどから問い合わせ先を確認するよう呼び掛けている。
しかし、こうしたフィッシング詐欺を成立させないためにも、「パスワードレスの個人認証などでログインのセキュリティを強化することが事業者の対策として求められる」と大角氏は述べる。ヤフーでは前述のパスワードレス認証を導入することで、これらの脅威からユーザーを保護するための取り組みを強化するとしている。